Comment faire en sorte que votre conseil d'administration se soucie de la sécurité (avant qu'une violation ne force la main)

Si vous avez déjà lu l'un de ces articles sur les « Modèles de rapports pour les conseils d'administration à l'intention des CISO » et pensé : « Ah oui, mon conseil d'administration consacrera sûrement 25 minutes à mon tableau de bord de posture et posera des questions de suivi sur la vélocité de réduction du backlog de vulnérabilités », alors j'ai une excellente nouvelle pour vous : vous n'avez pas rencontré suffisamment de conseils d'administration.

La plupart des conseils d'administration d'entreprise ne veulent pas d'un tableau de bord de sécurité. Ils ne veulent pas de métriques de posture. Ils ne veulent pas d'une carte thermique qui ressemble à un briefing de risque de lancement de la NASA. Ce qu'ils veulent, qu'ils le disent explicitement ou non, c'est une aide à la décision.

Ils veulent une manière justifiable de choisir entre des narratifs de risque concurrents. Ils veulent savoir s'il faut investir dans la mitigation A ou B. Ils veulent réduire l'incertitude. Ils veulent éviter une surprise qui mettrait fin à leur carrière, et voici la partie que la plupart des leaders de la sécurité ne veulent pas entendre :

Les conseils d'administration ne financent pas la sécurité parce qu'elle est importante. Ils la financent lorsque la décision semble rationnelle, circonscrite et défendable.

Parlons de la manière d'y parvenir.

Pourquoi les conseils d'administration ne se soucient pas de la sécurité

Les conseils d'administration ne sont pas anti-sécurité. Ils ne sont ni imprudents ni stupides. Ils sont simplement optimisés, structurellement, culturellement et psychologiquement, pour les discussions axées sur les résultats.

La sécurité est une discipline particulière, car le meilleur scénario est qu'il ne se passe rien. Pas de gros titres. Pas de perturbation. Pas de réunions d'urgence. Pas de négociations de rançon. Pas d'appels soudains du type « comment cela a-t-il pu arriver ? ».

Et « rien ne s'est passé » n'est pas un résultat que le conseil peut facilement valoriser. C'est un vide. C'est hypothétique. C'est contrefactuel. C'est une histoire de fantômes. Le conseil tombe donc naturellement dans l'état d'esprit dans lequel tout être humain tombe :

« Rien ne s'est passé jusqu'à présent. »

Ce qui est une logique tragiquement séduisante. C'est aussi l'une des phrases les plus coûteuses de l'histoire des entreprises. Le problème est que l'absence de preuve n'est pas la preuve de l'absence. C'est plus souvent la preuve de la chance, de l'obscurité ou d'une mauvaise détection. Les conseils d'administration ne sont pas irrationnels ici. Ils appliquent le même raisonnement qu'ils utilisent ailleurs :

• Si nous livrons, nous voyons des revenus.
• Si nous faisons du marketing, nous voyons des pipelines.
• Si nous embauchons, nous voyons un débit.
• Si nous réduisons les coûts, nous voyons une marge.

Mais la sécurité ? La métrique de succès est un espace négatif. Donc, à moins que vous ne les aidiez à percevoir la décision comme concrète et circonscrite, la sécurité sera toujours reléguée au rang de « un plus ».

Pourquoi « Croyez-moi, c'est important » ne fonctionne jamais

Il existe deux types courants de présentations de sécurité au niveau du conseil d'administration :

Les deux approches sont fausses et les deux échouent. Les conseils d'administration ne réagissent pas bien à la panique, car la panique n'est pas un plan. La panique est une demande de confiance émotionnelle, et les conseils sont explicitement conçus pour ne pas fonctionner sur l'émotion.

Et les conseils ne réagissent pas bien au « tout va bien », car la question devient alors pourquoi vous avez besoin de plus d'argent. Le CISO est coincé à essayer de marcher sur une corde raide entre ressembler à Chicken Little et ressembler à un bureaucrate surfinancé. Vous ne voulez pas que le conseil ressente de la peur. Vous voulez qu'il ressente de la clarté et de la confiance.

Comment les conseils d'administration pensent réellement au ROI et au risque

Les responsables de la sécurité tentent souvent à tort de "prouver le ROI" comme le ferait le marketing ou les ventes. Les conseils d'administration n'abordent pas la sécurité de la même manière qu'ils abordent les revenus. Ils la considèrent plutôt sous l'angle du risque, de l'assurance et de la résilience.

Voici le modèle mental simplifié du conseil d'administration :

• Que font nos concurrents ?
• Quelle est notre perte attendue ?
• Quel est le coût pour la réduire ?
• Quelle est la probabilité ?
• Quel est l'impact ?
• Quelle est l'incertitude ?
• Quel est le pire scénario opérationnel plausible ?

Les cadres de sécurité ont tendance à privilégier la prévention. Ils supposent que nous pouvons empêcher les incidents si nous mettons en œuvre suffisamment de contrôles et achetons suffisamment d'outils. Les conseils d'administration comprennent quelque chose que les équipes de sécurité oublient parfois : la prévention n'est pas binaire. Certaines défaillances sont inévitables. Comme le dit le mantra de la cybersécurité, ce n'est pas une question de "si" vous serez compromis, mais de "quand". C'est pourquoi les conseils d'administration financeront des assurances, mais résisteront à l'augmentation des dépenses en outils de sécurité.

L'assurance est un instrument financier encadré. Elle comprend une prime, une police et un versement. Même si elle ne couvre pas tout, c'est une forme de décision familière.

Les investissements en sécurité se présentent souvent comme des engagements ouverts :

• "Nous avons besoin d'une plateforme."
• "Nous avons besoin d'un programme."
• "Nous avons besoin d'une meilleure posture."
• "Nous avons besoin de plus d'outils."

Les conseils d'administration entendent : "Nous avons besoin d'un chèque en blanc pour combattre un ennemi invisible pour toujours." Ce n'est pas une demande facile à accepter pour un conseil. Le conseil souhaite avoir un choix afin de prendre une décision.

Le coût réel d'une violation

La plupart des discussions sur le coût des violations restent en surface :

• amendes
• règlements juridiques
• dommages à la PR

Ceux-ci sont importants, mais la réalité opérationnelle est pire et plus pertinente. Le véritable coût d'une violation est la réaffectation forcée de votre ressource la plus rare : la concentration de l'ingénierie. Un incident majeur ne coûte pas seulement de l'argent. Il déplace le travail planifié. Il accapare des trimestres de développement.

La réponse aux incidents n'est pas "juste l'informatique qui nettoie les choses". Une véritable réponse aux incidents comprend :

• une enquête forensique nécessitant la mise hors service d'appareils pour la chaîne de traçabilité
• renouvellement du matériel (car on ne peut pas faire confiance aux endpoints compromis)
• réinitialisations d'identité d'urgence et refonte des accès
• réarchitecture du cloud sous la contrainte
• réémission des secrets et des certificats
• revalidation des sauvegardes (qui peuvent également être compromises)

C'est désordonné, coûteux et perturbateur (demandez simplement à Caesars ou 23andMe).

La confiance des clients et le taux d'attrition ne sont pas non plus théoriques. La fidélité est difficile à gagner et facile à perdre, surtout dans les contrats d'entreprise où les cycles de renouvellement créent une porte de sortie naturelle.

Après une brèche, la question n'est pas « comment l'attaquant a-t-il fait ? » La question devient : « Qui savait quoi, et quand ? » Soudain, votre programme de sécurité n'est plus évalué sur ses mérites techniques. Il est évalué sur sa défendabilité narrative par des experts autoproclamés.

Ce qui nous amène à la vérité inconfortable :

La première attaque est l'acteur de la menace.
La seconde attaque, c'est tout le monde.

Comment parler des incidents de sécurité

Les CISO expérimentés ne s'obsèdent pas sur la probabilité d'une brèche. Ils parlent de la cadence des brèches.

Car la question n'est pas de savoir si vous aurez un jour un incident. La question est :

• À quelle fréquence ferez-vous face à une compromission ?
• À quelle vitesse le détecterez-vous ?
• Dans quelle mesure pouvez-vous le contenir ?
• À quelle vitesse pouvez-vous restaurer les opérations ?

C'est une approche axée sur la résilience, et non sur la prévention. Et si quelqu'un dit : « Nous n'avons jamais été victimes d'une brèche. » La bonne réponse n'est pas de débattre. C'est de reformuler en douceur. Plus votre détection est mature, plus vous découvrez d'incidents et de brèches. C'est profondément contre-intuitif pour les dirigeants. En d'autres termes, une visibilité améliorée peut vous faire paraître « pire » avant de vous rendre plus sûr.

Les attaquants exploitent également bien plus souvent des défaillances d'hygiène de base que des zero-days sophistiqués. Le mythe selon lequel les brèches nécessitent des adversaires d'élite est réconfortant, mais il est généralement faux. Les attaquants modernes agissent rapidement. Le temps moyen d'exploitation se mesure désormais en minutes et en heures, et non en jours et en semaines, d'autant plus que l'IA accélère le développement d'exploits et l'ampleur du phishing. Votre résilience est définie par votre adaptabilité et non par votre capacité à restaurer des sauvegardes et à revenir à un état antérieur. Car l'état antérieur était la configuration vulnérable qui vous a exposé à la brèche en premier lieu.

Les seules métriques de sécurité dont les conseils d'administration se soucient réellement

Les conseils d'administration ne veulent pas d'un tableau de bord. Ils veulent un volant. Alors, quelles métriques de sécurité sont importantes ?

Tendances de l'exposition aux risques

Pas le « nombre de vulnérabilités », mais comment votre exposition évolue et pourquoi. Rapportez toujours en pourcentages et en écarts par rapport aux métriques du trimestre précédent, et non en nombres absolus de vulnérabilités.

Temps de détection et temps de remédiation

Ce sont des métriques opérationnelles ayant une signification commerciale directe. Incluez les métriques auto-corrigées issues de l'analyse de code pour les secrets partagés, les configurations vulnérables avec votre CSPM, la dérive de configuration et les risques liés à la chaîne d'approvisionnement, comme les récentes attaques NPM Shai-Hulud.

Réduction du rayon d'impact

C'est le concept de sécurité le plus pertinent pour le conseil d'administration : le confinement. Il ne s'agit pas de savoir si nous pouvons éteindre chaque incendie, mais si nous pouvons empêcher un feu de cuisine de ravager tout le bâtiment. 

C'est là que la réflexion par scénarios devient puissante. Le blog SRE de Google a popularisé la « Wheel of Misfortune » avec des exercices de simulation sur table hebdomadaires : des simulations d'incidents structurées et récurrentes. La NASA utilise un concept similaire : le « pre-mortem ». Vous partez du principe d'un échec, puis vous remontez le fil pour comprendre comment il se produira. L'ingénierie du chaos en sécurité est l'évolution de cette approche : des expériences réfléchies autour des états de défaillance, ancrées dans la réalité opérationnelle, et non dans la simple mise en scène.

Inconnues connues vs angles morts

Les conseils d'administration peuvent comprendre l'incertitude. Ils ne peuvent pas comprendre « nous avons 13 492 vulnérabilités critiques ». Mais ils peuvent comprendre :

• « Nous ne savons pas si un mouvement latéral est possible entre ces environnements. »
• « Nous n'avons pas de validation objective de notre surface d’attaque externe. »
• « Nous ne savons pas si notre pipeline de détection peut intercepter le credential stuffing. »

C'est pourquoi les tests d'intrusion tiers sont incroyablement précieux lorsqu'ils sont utilisés correctement. Non pas comme une simple case à cocher, mais comme un mécanisme objectif de découverte et de validation des risques.

Métriques de sécurité qui desservent votre cause

Parlons maintenant des métriques qui font décrocher les conseils d'administration et la haute direction.

Nombre d'outils

Plus d'outils ne signifie pas plus de sécurité. Chaque outil est en fait un utilisateur privilégié. Chacun devient une partie de la surface d'attaque. Chacun ajoute de la complexité opérationnelle. Une maturité approfondie avec quelques outils l'emporte sur des implémentations superficielles de dizaines d'outils.

Volumes de vulnérabilités

Tous les éléments critiques et à haute gravité ne sont pas égaux. L'essor de la pensée de type EPSS rend cela évident : seul un faible pourcentage de vulnérabilités sont réellement exploitées lors de brèches réelles. Les métriques basées sur le volume compliquent la priorisation.

Totaux de gravité des CVE

La gravité n'est pas la même chose que l'exploitabilité. L'accessibilité et le contexte sont plus importants. Les conseils d'administration ne veulent pas financer une guerre contre les chiffres, car elle ne peut tout simplement pas être gagnée.

Taux de conformité

Toutes les entreprises victimes de brèches avaient des audits et des rapports de conformité. La conformité est un seuil bas. La véritable sécurité est l'objectif. Lorsque les RSSI présentent ces métriques au conseil, ils le font souvent parce que ce sont les plus faciles à produire. Mais la facilité n'est pas synonyme de persuasion.

Utiliser les POC pour transformer le risque hypothétique en preuve

L'un des outils les plus efficaces dont dispose un leader de la sécurité est la preuve de concept rémunérée. Non pas comme une compétition de fonctionnalités, mais comme une expérience de découverte structurée. Un bon POC est sûr pour le conseil d'administration car il produit des preuves sans alarmisme. Il peut :

• faire remonter des problèmes critiques inconnus
• valider si un scénario de risque est réel
• réduire l'incertitude autour des contrôles actuels
• fournir une base défendable pour l'investissement

La clé est de le traiter comme une expérimentation métier :

• Définir l'hypothèse.
• Définir les critères de succès.
• Définir la timebox.
• Définir ce que signifie un refus.

Ensuite, vous pouvez retourner devant le conseil et dire : « Nous avons mené une évaluation circonscrite. Voici ce que nous avons appris. Voici les options de décision. » Les conseils d'administration apprécient les décisions circonscrites.

Attribution des budgets après une brèche de sécurité

Il existe un schéma tragique dans le leadership en matière de sécurité : Brèche → « je vous l'avais bien dit » → budget débloqué.

Mais c'est un cadeau empoisonné. Car le CISO post-brèche reçoit souvent les ressources que le CISO pré-brèche avait implorées et qui lui avaient été refusées. Et le CISO pré-brèche est souvent mis à la porte. Ce n'est pas seulement injuste, c'est dommageable pour l'organisation. À cause de la deuxième attaque, les donneurs de leçons, les enquêteurs, les assureurs, les régulateurs, détruisent souvent la crédibilité du CISO, même s'il a bien géré l'incident.

De nombreux CISO ne survivent pas à la deuxième attaque. Et ensuite, la planification de la succession, ou son absence, introduit une toute nouvelle fenêtre de vulnérabilité. Les acteurs de la menace le savent. Ils s'acharnent. Ils exploitent le chaos du changement de leadership. Vous pouvez vous retrouver à mener une guerre sur deux ou trois fronts :

• attaquants opportunistes
• crime organisé
• instabilité organisationnelle interne

La manière d'éviter ce piège est de mettre en place un support d'aide à la décision au niveau du conseil d'administration avant la brèche.

Comment gérer les objections courantes

Les dirigeants et les conseils d'administration ont un petit ensemble d'objections prévisibles. L'erreur est de les réfuter comme lors d'un débat. La bonne approche est de les reformuler comme une décision. Vous devriez également vous assurer de lire l'« Annexe A : Questions que le conseil doit poser à la direction concernant la cybersécurité » du NACD 2017 Board Handbook et être prêt à répondre à chacune de ces questions.

“C'est trop cher.”

“Cher” par rapport à quoi ? Par rapport à la perte attendue ? Par rapport au coût des temps d'arrêt ? Par rapport au coût d'opportunité des sprints d'ingénierie et des livrables détournés ?

“Nous avons déjà quelque chose.”

C'est une objection liée à un point aveugle et fait généralement référence aux services groupés de votre abonnement Microsoft 365. Ne discutez pas du remplacement, mais expliquez plutôt que Microsoft Defender est nécessaire, mais pas suffisant. Parlez des résultats :

• Que pouvons-nous détecter ?
• Que pouvons-nous prévenir ?
• Que pouvons-nous contenir ?
• Que ne savons-nous pas ?

“Nous sommes déjà conformes.”

La conformité n'est pas une réduction des risques. C'est la preuve que vous avez validé une liste de contrôle. Ce n'est pas la preuve que vous pouvez survivre à un incident.

« Nous le développerons en interne. »

Les décisions de développement interne doivent inclure :

• la charge de maintenance
• les coûts de formation pour les nouvelles recrues
• le coût d'opportunité
• le risque lié à la gestion à long terme

La décision de « faire ou acheter » doit s'assurer de déterminer s'il s'agit d'une compétence clé. L'outillage de sécurité n'est pas un « projet ponctuel ». C'est un engagement opérationnel et un processus continu. Pendant de nombreuses années, la gestion des systèmes de messagerie d'entreprise était assurée par une équipe informatique de plusieurs personnes. Aujourd'hui, elle est largement externalisée auprès de Microsoft et Google, avec de bien meilleurs résultats en matière de sécurité et des coûts inférieurs. Phil Venables m'a un jour mentionné que son plus grand regret, lorsqu'il dirigeait la sécurité chez Goldman Sachs, était d'avoir internalisé beaucoup trop de leurs capacités simplement parce qu'ils le pouvaient, et non parce que c'était la bonne chose à faire.

« Nous utiliserons l'open source. »

L'open source est certainement excellent et digne de confiance. Mais les conseils d'administration devraient comprendre la différence entre :

• la capacité
• la fiabilité
• la responsabilité

L'open source vous donne du code. Il ne vous offre pas de garantie de service ni « un seul responsable ».

« Les pentests sont suffisants. »

Les pentests sont des instantanés à un moment donné, souvent réalisés seulement une semaine par an. Les conseils d'administration devraient exiger une gestion continue des risques.

« Cela ne nous affectera pas / Nous ne serons jamais piratés. »

La confiance est une hypothèse. Les hypothèses doivent être validées. C'est là que les directives de gouvernance du conseil d'administration sont importantes. Le conseil n'a pas besoin de devenir technique. Mais il doit être capable de prendre des décisions concernant les risques informatiques et les perturbations commerciales afin de comprendre la nature des risques de cybersécurité en tant que risque systémique.

À quoi ressemble un dossier d'investissement en sécurité prêt pour le conseil d'administration

Alors, à quoi ressemble réellement un investissement de sécurité crédible ?

Une définition claire des risques et un cadre pertinent

Le choix du cadre est important. Certains cadres montrent leur âge et sont mal adaptés aux entreprises cloud-native. L'une des pires choses que vous puissiez faire est de laisser l'organisation s'appuyer sur un étalon de mesure désuet. Les CIS Top Controls figurent parmi les meilleurs cadres de cybersécurité car ils sont mis à jour régulièrement et suivent le rythme des innovations et techniques basées sur le cloud.

Réduction mesurable de l'incertitude

La sécurité ne se limite pas aux contrôles. Il s'agit de réduire l'ambiguïté. Et voici la citation sur le leadership que je souhaite que chaque dirigeant mémorise :

« En tant que managers, nous exécutons un plan,
en tant que leaders, nous gérons la rareté, et
en tant que dirigeants, nous gérons l'ambiguïté. »

Les conseils d'administration gèrent l'ambiguïté. Votre rôle est de les aider à la réduire en présentant le contexte et les données.

Évaluation avec un horizon temporel défini et un ROI qualitatif

Ne le sur-quantifiez pas. Restez conceptuel. « À quoi ressemble le succès dans 90 jours ? Dans 6 mois ? » Quand la solution s'autofinance-t-elle par l'évitement des coûts ou le démantèlement d'un outil hérité qui ne fournit plus de contrôles de sécurité efficaces et de prévention des risques ?

Critères de succès définis

Exigences fonctionnelles et non fonctionnelles :

• disponibilité
• confidentialité
• intégrité
• charge opérationnelle
• impact sur la résilience

C'est ainsi que vous formulez la demande en quelque chose que le conseil d'administration peut approuver sans avoir l'impression de s'engager à l'aveuglette.

La seule erreur que les CISO commettent lorsqu'ils s'adressent aux conseils d'administration

La plus grande erreur des CISO est de penser que le conseil d'administration financera la sécurité parce qu'elle est importante. Les conseils d'administration ne financent pas l'importance. Ils financent des décisions défendables. Ainsi, l'objectif n'est pas de les impressionner par la complexité du paysage des menaces.

L'objectif est de leur offrir un compromis borné et rationnel :

• Voici les scénarios de risques concurrents.
• Voici ce que nous savons.
• Voici ce que nous ne savons pas.
• Voici les options.
• Voici le coût.
• Voici ce qui change si nous agissons.
• Voici ce qui reste incertain si nous n'agissons pas.

Lorsque vous faites cela, le conseil d'administration peut faire son travail. Et ironiquement, c'est à ce moment-là qu'ils commencent à se soucier de la sécurité.

Stratification des rythmes et pourquoi la gouvernance évolue lentement

Les bons programmes de sécurité opèrent à travers plusieurs couches de changement. Le modèle de stratification des rythmes de Stuart Brand est utile ici :

• Mode
• Commerce
• Infrastructure
• Gouvernance
• Culture
• Nature

La technologie évolue rapidement en périphérie, comme la mode. La gouvernance, elle, progresse lentement, et cette lenteur n'est pas un problème à résoudre. C'est la couche de stabilité qui préserve les entreprises de l'instabilité. Si vous souhaitez faire avancer le conseil, vous devez vous exprimer en termes de gouvernance : décisions encadrées, ambiguïté réduite, compromis justifiables. Car parler au conseil est la partie facile.

Ce qui est difficile, c'est d'apporter de la valeur à leur réflexion.